CVE-2022-29799 e CVE-2022-29800 Detecção: Novas Vulnerabilidades de Escalação de Privilégios no Sistema Operacional Linux Conhecidas como Nimbuspwn

[post-views]
Abril 28, 2022 · 4 min de leitura
CVE-2022-29799 e CVE-2022-29800 Detecção: Novas Vulnerabilidades de Escalação de Privilégios no Sistema Operacional Linux Conhecidas como Nimbuspwn

Em 26 de abril, a Equipe de Pesquisa do Microsoft 365 Defender descobriu algumas vulnerabilidades novas coletivamente chamadas de Nimbuspwn, que permitem a adversários escalar privilégios em vários ambientes de desktop Linux. As novas falhas detectadas Nimbuspwn foram identificadas como CVE-2022-29799 e CVE-2022-29800.

Uma vez encadeadas, essas falhas permitem que hackers obtenham privilégios de root, levem à implantação de cargas maliciosas e comprometam ainda mais os sistemas Linux via execução arbitrária de código root. Além disso, a atividade potencialmente maliciosa pode ser escalada através dessas novas vulnerabilidades Nimbuspwn, expondo os ambientes Linux comprometidos a ameaças mais avançadas, incluindo ataques de ransomware.

Detecção de CVE-2022-29799 e CVE-2022-29800: Nimbuspwn

Para fornecer visibilidade sobre ameaças relacionadas às vulnerabilidades Nimbuspwn recentemente descobertas, rastreadas como CVE-2022-29799 e CVE-2022-29800, a Equipe da SOC Prime disponibilizou uma regra Sigma dedicada na plataforma da SOC Prime. Profissionais de segurança são incentivados a se registrar na plataforma ou fazer login com as credenciais existentes para acessar esta regra:

Possível Atividade LPE do Nimbuspwn (via process_creation)

Esta detecção pode ser utilizada em 20 soluções SIEM, EDR e XDR e está alinhada com a última versão do MITRE ATT&CK® framework para visibilidade aprimorada das TTPs do adversário, abordando a tática de Escalação de Privilégio e a técnica correspondente de Exploração para Escalação de Privilégio (T1068).

Para manter os SIEMs e outras soluções de segurança em uso constantemente atualizados com o conteúdo de SOC em tempo quase real, as equipes são bem-vindas para explorar o conjunto de detecção abrangente disponível na plataforma da SOC Prime clicando no botão Ver Detecções. Para os entusiastas da cibersegurança que estão se esforçando para reforçar o potencial de defesa cibernética através da contribuição para uma iniciativa de crowdsourcing, juntar-se ao Programa Threat Bounty pode ser um excelente ponto de partida para evoluir as habilidades de caça a ameaças e desenvolvimento de conteúdo e colaborar para um futuro digital mais seguro. button. For those cybersecurity enthusiasts who are striving to reinforce the cyber defense potential through contribution to a crowdsourcing initiative, joining Threat Bounty Program can be a great jumping-off point to evolve threat hunting and content development skills and collaborate for a safer digital future. 

botão Ver Detecções. Para os entusiastas da cibersegurança que estão se esforçando para reforçar o potencial de defesa cibernética através da contribuição para uma iniciativa de crowdsourcing, juntar-se ao Programa Threat Bounty pode ser um excelente ponto de partida para evoluir as habilidades de caça a ameaças e desenvolvimento de conteúdo e colaborar para um futuro digital mais seguro. Junte-se ao Threat Bounty

Visão Geral do Nimbuspwn

De acordo com uma investigação da Microsoft, os pesquisadores revelaram uma série de lacunas de segurança ao inspecionar um componente do systemd chamado networkd-dispatcher dentro de um mecanismo popular de comunicação entre processos D-Bus (IPC). Em particular, eles identificaram um problema de travessia de diretórios (CVE-2022-29799), bem como falhas de corrida de links simbólicos e de tempo de verificação para tempo de uso (CVE-2022-29800) que poderiam ser encadeadas para adquirir privilégios de root em sistemas Linux e executar backdoors nos ambientes comprometidos.

Para mitigar as potenciais ameaças associadas a tentativas de exploração das vulnerabilidades Nimbuspwn, os usuários do networkd-dispatcher são incentivados a atualizar suas instâncias para as versões mais recentes do software. Além disso, organizações progressistas que buscam melhorar sua postura de segurança cibernética devem tomar medidas para monitorar constantemente seus ambientes devido aos altos riscos das falhas emergentes descobertas em sistemas Linux.

Implementar uma abordagem proativa de gerenciamento de vulnerabilidades pode ajudar as organizações a revelar e mitigar oportunamente ameaças e explorações que eram desconhecidas anteriormente. Utilizar a plataforma Detection as Code da SOC Prime permite que as equipes detectem ameaças nos estágios iniciais do ciclo de vida do ataque, enquanto aceleram continuamente as capacidades de defesa cibernética.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom 6 min de leitura Ameaças Mais Recentes Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom by Daryna Olyniychuk Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa 4 min de leitura Ameaças Mais Recentes Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação 4 min de leitura Ameaças Mais Recentes CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação by Veronika Telychko
Todas as notícias